Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Ações de autorização
Esta seção lista as ações de autorização com suporte para uso em condições.
Criar ou atualizar atribuições de função
| Propriedade | Valor |
|---|---|
| Nome de exibição | Criar ou atualizar atribuições de função |
| Descrição | Ação do plano de controle para criar atribuições de função |
| Ação | Microsoft.Authorization/roleAssignments/write |
| Atributos do recurso | |
| Atributos de solicitação | ID de definição de função ID da entidade de segurança Tipo de entidade |
| Exemplos | !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})Exemplo: restringir funções |
Excluir uma atribuição de função
| Propriedade | Valor |
|---|---|
| Nome de exibição | Excluir uma atribuição de função |
| Descrição | Ação do plano de controle para excluir atribuições de função |
| Ação | Microsoft.Authorization/roleAssignments/delete |
| Atributos do recurso | ID de definição de função ID da entidade de segurança Tipo de entidade |
| Atributos de solicitação | |
| Exemplos | !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})Exemplo: restringir funções |
Atributos de autorização
Esta seção lista os atributos de autorização que podem ser usados em expressões de condição, de acordo com a ação desejada. Se você selecionar várias ações para uma única condição, pode haver menos opções de atributos para a sua condição, pois os atributos devem estar disponíveis nas ações selecionadas.
ID de definição de função
| Propriedade | Valor |
|---|---|
| Nome de exibição | ID de definição de função |
| Descrição | A ID de definição de função usada na atribuição de função |
| Atributo | Microsoft.Authorization/roleAssignments:RoleDefinitionId |
| Origem do atributo | Solicitação Recurso |
| Tipo de atributo | GUID |
| Operadores | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
| Exemplos | @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {b24988ac-6180-42a0-ab88-20f7382dd24c, acdd72a7-3385-48ef-bd42-f606fba81ae7}Exemplo: restringir funções |
ID da entidade de segurança
| Propriedade | Valor |
|---|---|
| Nome de exibição | ID da entidade de segurança |
| Descrição | A ID da entidade de segurança atribuída à função. Ela é mapeada para a ID no Active Directory. Além disso, pode apontar para um usuário, uma entidade de serviço ou um grupo de segurança |
| Atributo | Microsoft.Authorization/roleAssignments:PrincipalId |
| Origem do atributo | Solicitação Recurso |
| Tipo de atributo | GUID |
| Operadores | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
| Exemplos | @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}Exemplo: restringir funções e grupos específicos |
Tipo de entidade
| Propriedade | Valor |
|---|---|
| Nome de exibição | Tipo de entidade |
| Descrição | O tipo de entidade de segurança representa um usuário, grupo, entidade de serviço ou identidade gerenciada que solicitou acesso aos recursos do Azure. É possível atribuir uma função a qualquer uma dessas entidades de segurança |
| Atributo | Microsoft.Authorization/roleAssignments:PrincipalType |
| Origem do atributo | Solicitação Recurso |
| Tipo de atributo | STRING |
| Valores | Usuário ServicePrincipal Grupo |
| Operadores | StringEqualsIgnoreCase StringNotEqualsIgnoreCase ForAnyOfAnyValues:StringEqualsIgnoreCase ForAnyOfAllValues:StringNotEqualsIgnoreCase |
| Exemplos | @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}Exemplo: restringir funções e tipos de entidade de segurança |